Hallo.

Ich hab mir nen Exploit eingefangen. Sieht wohl so aus, als ob das beim browsen passiert ist auf irgend ner infizierten Seite (m.E. war es auf rslinks.org). Werde die Seite in Zukunft meiden. Ich hatte im Februar schonmal nen Exploit drauf, wo ihr mir geholfen habt.
Also, antivir hat folgende Meldung gebracht:

Code: Alles auswählenAufklappen

ATTFilter

C:\Users\name\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\44\2256932c-591ba6bc
  [0] Archivtyp: ZIP
  --> ta/tb.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/2011-3544.CZ
  --> ta/ta.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/JAVA.Loader.Gen
  --> ta/L.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2012-0507

Beginne mit der Desinfektion:
C:\Users\Name\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\44\2256932c-591ba6bc
  [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2012-0507
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48b87e4c.qua' verschoben!
         

So wie das aussieht hat antivir auch nur einen der 3 in Quarantäne verschoben.

Ich lasse jetzt grad mwb drüber laufen und werde danach den eset online scanner laufen lassen. Werde dann die Ergebnisse hier einstellen.

Vielen Dank schonmal.
Gruss, Manuel.

Hi

MWB ist jetzt fertig. Hier das log:

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.04.06.02

Windows 7 x64 NTFS
Internet Explorer 8.0.7600.16385
African King :: AFRICANKING-PC [Administrator]

06.04.2012 14:24:39
mbam-log-2012-04-06 (14-24-39).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 301639
Laufzeit: 49 Minute(n), 6 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

Werde jetzt eset laufen lassen und dann wieder das log einstellen.

So.
eset ist jetzt auch fertig. Hat nix gefunden. Hier das log:

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=c7be9802a810d14f86c8ea46bd2cce65
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-02-12 04:27:15
# local_time=2012-02-12 06:27:15 (+0200, Südafrika Normalzeit)
# country="Germany"
# lang=1033
# osver=6.1.7600 NT 
# compatibility_mode=1792 16777215 100 0 4664893 4664893 0 0
# compatibility_mode=5893 16776573 100 94 0 80690254 0 0
# compatibility_mode=8192 67108863 100 0 834 834 0 0
# scanned=116862
# found=0
# cleaned=0
# scan_time=3631
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=c7be9802a810d14f86c8ea46bd2cce65
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-04-06 02:35:07
# local_time=2012-04-06 04:35:07 (+0200, Südafrika Normalzeit)
# country="Germany"
# lang=1033
# osver=6.1.7600 NT 
# compatibility_mode=1792 16777215 100 0 9323890 9323890 0 0
# compatibility_mode=5893 16776573 100 94 429 85349251 0 0
# compatibility_mode=8192 67108863 100 0 4659831 4659831 0 0
# scanned=117442
# found=0
# cleaned=0
# scan_time=3506
         

Werde jetzt dann nochmal antivir laufen lassen und dann auf eure Anweisungen warten. Also es war definitiv als ich auf der o.g. Seite war. Da kam die Meldung mit dem Exploit. Ich habe dann sofort auf Zugriff verweigern geclickt. Die Meldung kam dann aber immer wieder bis ich die Seite zugemacht habe. Sieht wohl so aus als ob es trotz Zugriff verweigern sich eingeschlichen hat.

Hoffe ihr könnt mir weiterhelfen.
Vielen Dank.

Welche Java-Version hast du installiert? Deinstallierst du auch immer die alten Versionen bevor du ein neue Java RE raufmachst?

Da Malwarebytes und ESET nichts gefunden haben, könnte man vermuten, dass der angebliche Explot nicht über den Browsercache hinausgekommen ist.

Hi.

Du hattest mir beim letzten mal gesagt, dass ich die alten Java Versionen immer entfernen soll vor dem Update. Das hab ich auch gemacht.
Ich hab heute ne neue Java Version (v7 Update 3) draufgemacht. Die, die ich gelöscht hab vorher war die v6 update 31.
Das Java Update habe ich allerdings erst gemacht, nachdem die Meldung mit dem Exploit kam. Ich verspreche Besserung in Zukunft bei den Aktualisierungen.

Die Seite, bei der die Medlung kam scheint komplett verseucht zu sein. Bei jedem Werbungs pop up kommt de ne Meldung von gefährlichen Webseiten und dass antivir das geblockt hat. Gehe da jedenfalls nicht mehr drauf.

Dein Kommentar beruhigt mich ein wenig. Hoffe das Ding kam wirklich nicht übern cache hinaus.

Vielen Dank für deine schnelle Rückmeldung und das am Karfreitag. Bin beeindruckt.

Gruss,
Manuel.